WinRARda nol kunlik zaiflik – darhol yangilang
1
36
0
WinRAR fayl arxivlash vositasining qo‘llab-quvvatlovchilari faol ravishda ishlatilayotgan nol kunlik zaiflikni bartaraf etish uchun yangilanish chiqardilar.
CVE-2025-8088 (CVSS ball: 8.8) sifatida kuzatilgan muammo, vositaning Windows talqiniga ta'sir qiluvchi "path traversal" holati sifatida tasvirlanadi, bu maxsus tayyorlangan zararli arxiv fayllari orqali ixtiyoriy kodni ijro etish imkonini beradi.
"Faylni ochishda WinRAR, Windows talqinlari RAR, UnRAR, portativ UnRAR manba kodi va UnRAR.dllning oldingi talqinlari belgilangan yo‘l o‘rniga maxsus tayyorlangan arxivda aniqlangan yo‘lni ishlatishga aldanib qolishi mumkin," deb yozdi WinRAR maslahat xabarida.
ESET kompaniyasidan Anton Cherepanov, Peter Kosinar va Peter Strycek ushbu xavfsizlik nuqsonini aniqlagan va xabar qilganliklari uchun e’tirof etildilar. Bu muammo 2025-yil 31-iyulda chiqarilgan WinRAR 7.13 talqinida bartaraf etildi.
Hozirda bu zaiflikning haqiqiy hujumlarda qanday qurollantirilayotgani va kim tomonidan amalga oshirilayotgani noma'lum. 2023-yilda WinRARga ta'sir qilgan boshqa zaiflik (CVE-2023-38831, CVSS ball: 7.8) Xitoy va Rossiyadan kelgan bir nechta muhaddidlar tomonidan, shu jumladan nol kunlik sifatida jiddiy ravishda ishlatilgan edi.
Rossiyaning BI.ZONE kiberxavfsizlik kompaniyasi o‘tgan hafta chop etilgan hisobotida, Paper Werewolf (GOFFEE deb ham ataladi) deb atalgan hakerlar guruhi CVE-2025-8088 zaifligidan, shuningdek, 2025-yil iyun oyida tuzatilgan WinRARning Windows talqinidagi path traversal xatosi bo‘lgan CVE-2025-6218 bilan birga foydalangan bo‘lishi mumkinligi haqida dalillar borligini aytdi.
Shuni ta'kidlash kerakki, ushbu hujumlardan oldin, "zeroplayer" deb nomlangan muhaddid 2025-yil 7-iyulda rus tilidagi Exploit.in dark veb forumida WinRAR nol kunlik eksploitini 80,000 dollar narxda reklama qilgan edi. Taxminlarga ko‘ra, Paper Werewolf ishtirokchilari uni sotib olib, o‘z hujumlari uchun ishlatgan bo‘lishi mumkin.
"WinRARning oldingi talqinlarida, shuningdek, RAR, UnRAR, UnRAR.dll va Windows uchun portativ UnRAR manba kodida, ixtiyoriy kodni o‘z ichiga olgan maxsus tayyorlangan arxiv faylni ochishda fayl yo‘llarini manipulyatsiya qilish uchun ishlatilishi mumkin edi," deb yozgandi WinRAR CVE-2025-6218 haqidagi ogohlantirishda.
"Bu zaiflikdan foydalanish uchun foydalanuvchi o‘zaro ta'siri talab qilinadi, bu esa fayllarni belgilangan jilddan tashqariga chiqishiga olib kelishi mumkin. Bu xato fayllarni nozik joylarga, masalan, Windows Autostart jildiga joylashtirish uchun ishlatilishi mumkin, bu keyingi safargi tizimga kirishda kutilmagan kod ijrosiga olib kelishi mumkin."
BI.ZONE ma'lumotlariga ko‘ra, hujumlar 2025-yil iyul oyida Rossiya tashkilotlariga qarshi fishing elektron xatlari orqali amalga oshirilgan bo‘lib, ularda zararli arxivlar bo‘lgan, ular ishga tushirilganda CVE-2025-6218 va ehtimol CVE-2025-8088 zaifliklarini ishlatib, maqsadli jilddan tashqariga fayllarni yozgan va kod ijrosini amalga oshirgan, shu bilan birga qurbonlarga chalg‘ituvchi sifatida soxta hujjat ko‘rsatilgan.
"Zaiflik shu bilan bog‘liqki, RAR arxivini yaratishda muqobil ma'lumot oqimlari bo‘lgan faylni kiritish mumkin, ularning nomlari nisbiy yo‘llarni o‘z ichiga oladi," deb yozdi BI.ZONE. "Bu oqimlar istalgan yuklamani o‘z ichiga olishi mumkin. Bunday arxivni ochish yoki arxivdan faylni to‘g‘ridan-to‘g‘ri ochishda, muqobil oqimlardan ma'lumotlar diskdagi ixtiyoriy jildlarga yoziladi, bu path traversal hujumidir."
Zaiflik WinRAR-ning 7.12 va undan oldingi talqinlariga ta'sir qiladi. 7.13 talqinidan boshlab bu zaiflik endi takrorlanmaydi.
Mavzudagi zararli yuklamalardan biri .NET yuklamasi bo‘lib, u tizim ma'lumotlarini tashqi serverga yuborish va qo‘shimcha zararli dasturlarni, shu jumladan shifrlangan .NET yig‘masini qabul qilish uchun mo‘ljallangan.
"Paper Werewolf C# yuklamasidan foydalanib, qurbonning kompyuter nomini oladi va uni serverga yuklamani olish uchun yaratilgan havolada yuboradi," deb qo‘shimcha qildi kompaniya. "Paper Werewolf boshqaruv serveri bilan aloqa qilish uchun teskari qobiqda soketlardan foydalanadi."
7-Zip ixtiyoriy fayl yozish xatosini tuzatdi
Bu e'lon 7-Zipning xavfsizlik xatosi (CVE-2025-55188, CVSS ball: 2.7) uchun tuzatishlar chiqargan vaqtda e'lon qilindi. Bu xato vositaning ochish jarayonida ramziy havolalarni boshqarish usuli tufayli ixtiyoriy fayl yozishga imkon berishi mumkin edi, bu esa kod ijrosiga olib kelishi mumkin. Muammo 25.01 talqinida bartaraf etildi.
Mumkin bo‘lgan hujum ssenariysida, xavf-xatar ishtirokchisi nozik fayllarni, masalan, foydalanuvchining SSH kalitlari yoki .bashrc faylini qayta yozish orqali ruxsatsiz kirish yoki kod ijrosiga erishishi mumkin.
Hujum asosan Unix tizimlariga qaratilgan, ammo qo‘shimcha shartlar bilan Windows uchun ham moslashtirilishi mumkin. "Windowsda 7-Zip ochish jarayoni ramziy havolalarni yaratish imkoniyatiga ega bo‘lishi kerak (masalan, ma'muriy imtiyozlar bilan ochish, Windows dasturchi rejimida bo‘lishi va hokazo)," deydi "lunbun" xavfsizlik tadqiqotchisi.
